上周震惊全球网络安全界的FireEye黑客事件只是冰山一角。FireEye遭袭后不到一周,俄罗斯黑客组织APT29就入侵了美国商务部、商务部等美国各政府机构。FireEye周日晚上透露,攻击者正在使用Orion的更新来感染目标,Orion是SolarWinds广泛使用的网络监控和管理软件。在控制了Orion的更新机制后,攻击者可以使用木马化的Orion更新来渗透目标网络,横向移动并窃取数据。FireEye研究人员将此后门称为Sunburst:SolarWinds.Orion.Core。BusinessLayer.dll是Orion软件框架的SolarWinds数字签名组件。这个SolarWindsOrion插件的木马版本包含一个后门(Sunburst),可以通过HTTP与第三方服务器通信。在长达两周的初始休眠期之后,特洛伊木马组件会检索并执行称为“作业”的命令,其中包括传输文件、执行文件、分析系统、重新启动计算机和禁用系统服务的能力。该恶意软件伪装成Orion改进计划(OIP)协议网络流量,并将侦察结果存储在合法的插件配置文件中,使其能够与合法的SolarWinds活动合并。后门使用多个混淆的黑名单来识别作为进程、服务和驱动程序运行的取证和防病毒工具。这个Sunburst后门有多可怕?微软在一篇博文中指出,在利用Orion更新机制在目标网络上站稳脚跟后,攻击者正在窃取签名证书,使他们能够冒充目标网络中的任何现有用户和帐户,包括高权限帐户。带有后门的SolarWinds软件数字签名奇安信CERT安全专家rem4x@A-TEAM分析发现,被感染的SolarWinds软件带有该公司的签名,这表明SolarWinds公司很可能已被黑客完全控制。已招募18,000名客户!影响全球的重大APT软件供应链攻击据《华盛顿邮报》报道:知情人士透露,作为全球间谍活动的一部分,俄罗斯政府黑客入侵了美国财政部和商务部等美国政府机构。上周末,官员们正忙于评估入侵的性质和严重程度并实施有效的反制措施,但早期迹象表明黑客活动是长期的(FireEye认为攻击最早于今年春天开始)并影响了主要。据包括《华盛顿邮报》在内的多家美国媒体报道,此次黑客攻击的主导者是隶属于俄罗斯联邦安全局(FSB)和外国情报局(SVR)的俄罗斯黑客组织APT29(ComfortBear)。在任期间,俄罗斯组织入侵了国务院和白宫的电子邮件服务器。据悉,美国联邦调查局已经开始调查这起事件,但周日没有发表评论。在周日的一篇博文中,FireEye表示,所有针对受害公司的APT29攻击都有一个共同的攻击路径:通过目标公司的SolarWinds网络管理系统的更新服务器。美国互联网安全和基础设施安全局(CISA)周日也发出警报,敦促企业阅读SolarWinds和FireEye的安全公告和Github页面(在文末),了解最新的检测对策。SolarWinds在周日的一份声明中表示:“根据监测,今年3月和6月发布的Orion产品可能已被秘密安装在大量高度复杂的、有针对性的目标上。”多位知情人士透露,俄罗斯的间谍活动规模非常大。一个人说:“这看起来非常非常糟糕。”专家并非空穴来风。受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信以及石油和天然气公司。事实上,SolarWinds客户的圈子通常并不大:全球有超过300,000个组织使用SolarWinds产品。据该公司网站称,SolarWinds的客户包括美国军方的所有五个部门、五角大楼、国务院、司法部、美国宇航局、总统行政办公室和国家安全局。此外,SolarWinds的客户还包括美国排名前十的电信公司。在提交给美国证券交易委员会的文件中,SolarWinds还表示:“大约18,000名客户下载了SolarWindsOrion的木马化版本。”路透社周日率先报道了财政部和商务部遭到黑客攻击的情况,并指出:问题非常严重,国家安全委员会周六召开了紧急会议。国家安全委员会发言人约翰·乌利奥特说:“美国政府了解这些报道,我们正在采取一切必要措施来确定和纠正与这种情况有关的任何可能问题。”他没有对负责的国家或团体发表评论。据路透社报道,除商务部外,俄罗斯人还瞄准了负责互联网和电信政策的美国国家电信和信息管理局,该黑客组织也与最近窃取冠状病毒疫苗研究的攻击有关。简介:软件供应链已进入雷区。虽然从目前的报道来看,这次袭击似乎与中国没有太大关系,但其实已经拉响了警笛!根据ESG和Crowstrike的2019年供应链安全报告:16%的公司购买了被操纵的IT设备;90%的公司对供应链网络攻击“毫无准备”。在安全牛的《供应链安全的五大数字风险》一文中,“企业或供应商软件漏洞”和“植入恶意软件的软硬件”占据了两个席位。软件(包括固件)供应链正在成为黑客对供应链的实施,而且这种攻击往往可以“攻破一点,一网打尽”,危害极大。甚至很多网络安全软件本身就存在供应链风险(比如FireEye刚刚泄露的红队工具)。根据埃森哲2019年的一项调查,在接受采访的4,600家公司中,有40%的公司因供应商受到网络攻击而遭受数据泄露。虽然大量公司报告直接攻击有所减少,但通过供应链发起的“间接攻击”却有所增加。上升趋势。2019年2月,赛门铁克发布报告显示,过去一年全球供应链攻击激增78%,强调2019年全球供应链攻击持续扩大。下面,安全牛罗列了全球主要的软件供应链攻击事件过去二十年,为了帮助安全人员更好地了解供应链入侵模式并开发最佳实践和工具。参考资料:SolarWindsOrion软件后门缓解建议(本周二更新补丁版本2020.2.1HF2):https://www.solarwinds.com/securityadvisorySUNWINRST后门利用SolarWinds供应链入侵全球受害者:https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.htmlFireEyeSUNBURST检测缓解工具页面:https://github。com/fireeye/sunburst_countermeasuresSEC备案:http://www.sec.gov/ix?doc=/Archives/edgar/data/1739942/000162828020017451/swi-20201214.htm》原创文章,转载请通过SafeBull获得授权(微信公众号id:gooann-sectv)】点此查看该作者更多好文
